Program konferenece

Na roli zaměstnance v systému kyberbezpečnosti organizace se podíváme očima pracovního práva a ukážeme si, že kyberbezpečnost nestojí jen na technologiích, ale také na tom, jak nastavíte pravidla, odpovědnosti a pracovněprávní rámec uvnitř organizace. Zaměříme se na konkrétní otázky:

• Jaké povinnosti má zaměstnance při ochraně dat a IT systémů

• Kdy může zaměstnavatel vyvozovat odpovědnost za kyberincident?

• Jak nastavit vnitřní předpisy a školení tak, aby měly reálnou váhu?

• Kde končí legitimní monitoring a začíná zásah do soukromí?

Přijďte si poslechnout to, co vám jiní konzultanti běžně neřeknou – realitu o tom, kde se při implementaci ISMS a požadavků ze zákonů a regulací skutečně láme chleba.

• Smrtící věta „Je to IT projekt“: Proč delegování bezpečnosti čistě na IT oddělení bez skutečného mandátu zaručeně nefunguje. IT může navrhovat řešení, ale nemůže za firmu rozhodovat o prioritách.

• Business Impact Analýza (BIA) bez byznysu: Analýzy psané „od stolu“ v IT vedou k tomu, že je kritické úplně všechno a tím pádem vlastně nic.

• Risk analýza jako tajná zbraň, ne hon na čarodějnice: Jak z analýzy rizik udělat nejsilnější argument pro rozpočet a lidi. Ukážeme si, proč se nebát pojmenovat pravdu a proč riziko, které „nebolí“ (nemá jasný dopad na peníze či reputaci), management nikdy nebude řešit.

• Mýtus o spolehlivém dodavateli: Věta „nám to spravuje externista už roky“ často maskuje obrovské riziko. Tady už nejde o servis, ale sázku, která se při incidentu může krutě nevyplatit.

• Bezpečnost už dávno děláte: Jen tomu tak možná neříkáte. Často stačí jen pojmenovat a uklidit to, co už ve firmě funguje, aby to nezůstalo jen v hlavách lidí.

Pohled do zákulisí toho, jak se tvoří systémy bezpečnosti v praxi českých firem. Zkušenosti ověřené praxí a v reálném provozu společností.

Sdílení konkrétních příkladů z praxe: jak nastavit odpovědnosti, jak vyhnout se formálnímu přístupu a jak budovat skutečnou odolnost místo papírové bezpečnosti.

• kdo ve firmě AI vlastně používá a k čemu,

• jaká data přitom vidí a šíří,

• kdo za to odpovídá a kolik zaplatí,

• jak to celé prokázat regulátorovi a auditu.

Co s tím? Ukážeme, jak postavit řídicí vrstvu, která dává viditelnost, auditovatelnost a kontrolu nad náklady napříč všemi AI řešeními ve firmě.

Na případové studii slovinské banky NLB projdeme, jak jsme za 5 měsíců nasadili do produkce centrální agentní platformu postavenou na Adastra AGate. NLB tak získalo plný audit trail včetně podkladů pro regulatorní reporting a kontrolu nad náklady za AI systémy. Čas nasazení nových AI use casů se navíc zkrátil o 80 %.

Jak nové požadavky správně převést do praxe, aby nešlo jen o doplnění pár odstavců do smlouvy a celý systém opravdu fungoval?

• Podíváme se na to, co říká právní úprava.

• Vysvětlíme si klíčové povinnosti, které na organizace dopadají.

• Hlavně si ale projdeme praktické zkušenosti s řízením bezpečnosti dodavatelského řetězce – od první myšlenky, přes úpravu smluv až po smysluplný dohled.

Cílem totiž není prokázat shodu na papíře, ale mít funkční kontrolu nad tím, kdo má přístup k vašim datům a systémům. Přijďte si poslechnout konkrétní příklady a osvědčené postupy, které vám pomohou být v souladu s novými pravidly.

Na konkrétních situacích z praxe se podíváme na to, proč tradiční přístup k řízení bezpečnosti často selhává, kde vzniká největší manažerská slepota nebo jaké strategické omyly organizace opakují bez ohledu na velikost či obor. Hlavně si ale povíme, co firmy změnily, aby se z těchto chyb poučily.

Zaměříme se na:

• nejčastější manažerské chyby v řízení kyberbezpečnosti,

• roli leadershipu při budování bezpečnostní kultury,

• rozdíl mezi řízením bezpečnostních opatření a řízením rizik,

• principy, jak bezpečnost řídit jako strategickou disciplínu, ne jako technický doplněk.

Bezpečnost totiž ve výsledku není otázkou nástrojů, ale stojí na rozhodnutích, které dělá vedení každý den.

Přesto má kyber své specifikum: hrozby se mění rychleji než v jakékoli jiné oblasti a z toho vyplývá několik praktických odlišností. Třeba že odpovědnost vedení se neposuzuje podle toho, zda útoku zabránilo, ale zda pro prevenci udělalo dost. Odpovíme na klíčové otázky v kontextu finanční regulace:

• Co je v kyberbezpečnosti stejné jako v jiných oblastech řízení rizik a co je zásadně jiné?

• Proč absence hlášených rizik není dobrá zpráva, ale varovný signál?

• Jak se liší odpovědnost boardu za kyberútok oproti AML nebo compliance selhání?

• Proč kvalitní dokumentace představuje nejlepší „kybernetický štít"?se na to, co říká právní úprava.